L’esperienza di Paolo Lezzi nasce negli anni ’80, durante gli studi di ingegneria al Politecnico di Milano, dove ha unito lo studio alla voglia di impegno tipica di quegli anni, partecipando attivamente alla nascita di cooperative universitarie. “Cercare di capire il perché delle cose e come dare risposte alle esigenze è stato il primo passo e da lì è stato naturale costituire, alla fine dell’università, con altri amici Beta80, un innovativo system integrator“.
La passione per il nuovo lo ha portato a fondare nel ’86 uno dei primi Internet Provider italiani, Enter, per poi nel 2008 (dopo una visita in Israele su invito dell’allora ministro per l’innovazione) costituire Maglan Europe in joint venture con l’israeliana Maglan, per entrare “in tempi pioneristici” nei servizi per la Cyber Difesa, ancora poco masticati in Italia. “Successivamente, dopo sette anni di cooperazione, ho ricomprato le quote del partner per cambiare nome all’azienda in InTheCyber, affiancando ai Servizi di Simulazione Offensiva (RedTeam) anche i servizi ad approccio Difensivo (Blueteam) – continua Lezzi -. La nostra missione è quella di verificare la reale efficacia delle misure di difesa presenti in aziende ed istituzioni per poi accompagnare i clienti in un percorso virtuoso che porti ad un presidio continuativo della Cyber Difesa e della Governance”.
In vista dell’entrata in vigore della GDPR, dal suo punto di osservazione, quale modello le aziende stanno adottando per adeguarsi alla normativa?
Non esiste un vero e proprio modello. Stiamo osservando comportamenti e scelte molto diverse da parte delle aziende, comprese quelle che non hanno ancora valutato gli impatti della normativa. Nelle grandi organizzazioni, considerata l’elevata complessità, il progetto è spesso affidato ad una grande società di consulenza che ne guida le varie fasi dall’impostazione all’implementazione. Tuttavia spesso rileviamo che c’è una tendenza a sottovalutare gli aspetti pratici del rischio cyber e che ci si ferma agli aspetti legali e alla revisione delle procedure, approccio che secondo noi risulta inadeguato in quanto in questo modo non si riesce a garantire la reale sicurezza dei dati e degli asset aziendali. Dobbiamo ricordare che il GDPR (come pure il NIS per le infrastrutture critiche) non si ferma più alla pura compliance ma pretende “misure adeguate”.
Quali sono i passi che le aziende dovrebbero intraprendere per potere essere in linea con gli adempimenti?
Il primo passo è effettuare una gap analysis rispetto alla normativa per comprendere quali sono le principali criticità dal punto di vista sia della documentazione formale sia procedurale.
Ci sono poi due fasi che ritengo particolarmente importanti: realizzare una mappatura completa dei processi aziendali e tracciare i percorsi che i dati compiono all’interno dell’azienda. Altrettanto fondamentale è riuscire a classificare tutti i dati aziendali in base ai diversi livelli di sensibilità ed individuare in modo puntuale dove sono localizzati, tenendo conto non solo del database principale, ma anche di eventuali back up o copie secondarie, che spesso non sono né tracciate né mappate. Per fare un esempio abbastanza comune, occorre considerare nella mappatura tutte le estrazioni di file Excel che spesso vengono fatte per le direzioni marketing e vendite dal database principale dei clienti. Trascurare nell’analisi questi aspetti vorrebbe dire lasciare in essere una vulnerabilità che potrebbe aprire le porte ad un data breach.
Infine, ma non meno importante in considerazione dell’obbligo previsto dalla GDPR di garantire ai clienti il cosiddetto diritto all’oblio, occorre verificare che esistano modalità adeguate per garantire la cancellazione dei dati.
Quali sono gli impatti che la normativa ha sulle aziende?
La normativa non ha solo impatti sui sistemi informativi ma ha un impatto su tutta l’azienda, per questo motivo si richiede un committment forte che arrivi dai vertici aziendali. I sistemi informativi tuttavia sono maggiormente impattati, proprio per la natura stessa della normativa che è finalizzata alla protezione dei dati personali, richiedendo un’analisi accurata delle modalità e dei processi di gestione di dati e informazioni.
Quali sono i punti di attenzione e le principali criticità che le aziende si troveranno ad affrontare?
Sicuramente un approccio basato esclusivamente sulla tecnologia non risulta adeguato, così come non è sufficiente un approccio metodologico/teorico.
Una prima criticità riguarda il fatto che nella maggior parte delle aziende non esiste una reale capacità di Detection & Response, tale da individuare in tempo reale se ci sia un attacco in corso. Questa rappresenta una carenza grave, dal momento che il GDPR impone la presenza di misure adeguate per segnalare alle autorità competenti l’attacco e, soprattutto, le conseguenze dell’attacco sui dati sensibili. Per questa esigenza InTheCyber ha attivato un Cyber Security Center dedicato a supportare le aziende proprio nella capacità di Detect&Response.
Un altro punto fondamentale è quello della Privacy by Design/Default cui sarebbe meglio unire la Security by Design da adottarsi in tutti i processi organizzativi e tecnici ed ancor più nello sviluppo di prodotti tecnologici.
Per poter colmare questo gap non risulta sufficiente adottare degli strumenti tecnologici, nonostante si parli tanto di predictive analytics e di altre tecnologie all’avanguardia applicate alla cyber intelligence, che pure hanno un ruolo importante, ma è indispensabile dotarsi di competenze, sia interne che esterne, e mettere in piedi una struttura di detection & response. Arriviamo all’ultimo punto, quello che io ritengo più strategico, ovvero le competenze che oggi esistono sono ancora limitate rispetto alla domanda e su questo punto il sistema educativo deve focalizzarsi per colmare un gap, rendendo estremamente necessaria una collaborazione pubblico/privato. Si tratta di una scelta strategica, dal momento che il rischio cyber continuerà a crescere e assumerà una dimensione nazionale, determinando una minaccia che non riguarda la singola azienda ma gli asset dell’intero Paese.
Infine quante sono le aziende che a maggio secondo lei saranno veramente pronte per la GDPR?
Se consideriamo tutti i passi da compiere e gli aspetti da considerare, sono ancora molte le aziende impreparate e credo che non più del 30% sarà realmente pronto e in regola con tutte le disposizioni contenute nella normativa. La normativa GDPR, strategicamente approcciata, può essere l’occasione per affontare con poco sforzo in più, non solo la protezione dei dati personali, ma la difesa dalla minaccia cyber degli asset strategici dell’azienda.
Se volete approfondire, leggete tutti gli articoli dello Speciale “Road to GDPR 2018”.
© RIPRODUZIONE RISERVATA
